Технический директор CTS Labs призвал изменить сложившуюся систему раскрытия информации об ошибках в сфере безопасности.
Компания CTS Labs столкнулась с критикой компьютерного сообщества после того, как на этой неделе обнародовала отчет о серьезных уязвимостях в новейших процессорах AMD. Журналисты и эксперты обвинили исследователей в том, что они опубликовали полученные данные, не дав вендору времени исправить найденные недостатки. Специалисты также отметили отсутствие технических подробностей в описании обнаруженных проблем.
IT-сообщество настороженно отнеслось к отчету малоизвестной компании, а некоторые издания даже обвинили ее в попытке манипулирования курсом акций AMD.
Все изменилось после того, как обоснованность выдвинутых CTS Labs обвинений подтвердили признанные эксперты по интернет-безопасности. Сперва после изучения технических деталей отчета с выводами израильской компании согласился Дэн Гуидо (Dan Guido), руководитель компании Trail of Bits. Чуть позже и другой уважаемый в IT-сообществе специалист, Алекс Ионеску (Alex Ionescu), заявил, что, ознакомившись с полной версией исследования, считает достоверной информацию об ошибках в проектировании и реализации процессоров.
Впрочем, Ионеску не согласен с тем, что выявленные CTS Labs уязвимости не представляют серьезной опасности, так как для их эскалации необходимы root-привилегии.
«Если архитектура чипа скомпрометирована, то доступ на уровне администратора — это реальная угроза для облачных платформ класса IaaS (Infrastructure-as-a-Service) и даже VTL0/1 систем, предназначенных для хранения учетных данных», — заявил эксперт.
Технический директор CTS Labs Илья Люк-Зильберман (Ilia Luk-Zilberman) выступил в среду с открытым письмом, в котором объяснил, почему компания не предоставила AMD времени на исправление ошибок. Специалист поставил под сомнение эффективность сложившейся системы взаимодействия ИБ-исследователей и вендоров.
По словам Люк-Зильбермана, отсрочка публикации данных о найденных уязвимостях ставит в невыгодное положение владельцев скомпрометированных систем: они продолжают считать, что пользуются надежными продуктами. Скрывая сведения об ошибках до момента выпуска патчей, производители не испытывают давления со стороны клиентов и потому не торопятся исправлять выявленные недостатки, считает эксперт.
«Я считаю, что о найденных уязвимостях нужно сообщать общественности сразу, причем поставщик системы и IT-сообщество должны узнавать о проблемах одновременно. При этом технические детали не стоит раскрывать до исправления ошибок. Таким образом мы сможем с самого начала оказывать общественное давление на продавца, но не поставим под угрозу пользователей», — говорится в заявлении руководителя CTS Labs.